Gouvernance des données : ayez confiance (ou pas ?)

Le 25 novembre 2020, la Commission européenne a publié sa proposition de règlement sur la gouvernance européenne des données ou Data Gouvernance Act (DGA)[1] dont l’objectif est de « libérer le potentiel économique et sociétal des données et des technologies telles que l’intelligence artificielle »[2]. Les mesures proposées visent à faciliter l’accès et l’exploitation d’un volume de données en croissance constante. Ce faisant, le texte entend contribuer à la circulation des données entre les États membres de l’Union européenne (mais aussi avec des États situés hors de l’UE) en stimulant le développement de systèmes « fiables » de partage de données intersectoriels et trans-sectoriels.

L’inscription dans la stratégie européenne pour les données

Cette proposition est la première d’une série de mesures annoncées dans le cadre de la stratégie européenne pour les données présentée en février 2020 par la Commission européenne[3]. Elle est conçue pour s’articuler avec deux autres propositions de règlements datant du 15 décembre 2020 : le Digital Services Act[4] (qui entend réguler la fourniture de services en ligne[5], sans revenir sur le principe de l’interdiction d’une obligation de surveillance) et le Digital Market Act[6] (lequel organise la lutte contre les pratiques déloyales des grandes plateformes à l’encontre des entreprises qui proposent des services par leur intermédiaire). Une proposition législative relative à l’espace européen des données de santé est envisagée pour fin 2021 et éventuellement une « loi sur les données ».

La Commission européenne prévoit également de créer neuf espaces européens communs de données dans des secteurs économiques stratégiques et des domaines d’intérêt public, allant de l’industrie manufacturière à l’énergie, en passant par la mobilité, la santé, les données financières et celles relatives au pacte vert[7]. Le premier enjeu à surmonter dans ce nouvel écosystème des données sera de dépasser les égoïsmes nationaux et ceux du marché.

La proposition de Data Governance Act ne régule donc ni les services en ligne, ni les contenus, ni les conditions d’accès au marché : il organise la « gouvernance des données », les conditions de leur partage, le marché étant implicitement présupposé comme le paradigme de l’échange. C’est ce que montre notamment une analyse menée à travers le prisme de la confiance (et qui pourrait être confirmée de bien d’autres manières).

La place centrale occupée par la confiance

La confiance occupe en effet une place centrale et stratégique dans l’ensemble de ce dispositif législatif, puisque le DGA « vise à favoriser la disponibilité de données en vue de leur utilisation, en augmentant la confiance dans les intermédiaires de données et en renforçant les mécanismes de partage de données dans l’ensemble de l’UE »[8]. « Renforcer la confiance », « accroître la confiance », garantir « un niveau plus élevé de confiance », « instaurer la confiance », « tirer avantage d’un environnement digne de confiance », « susciter la confiance » – autant d’expressions qui jalonnent le texte et qui en indiquent la visée fondamentale.

Pourtant, bien que la proposition prenne grand soin de définir les termes essentiels qui la constituent (« données », « réutilisation », « données à caractère non personnel »[9], « détenteur de données », « utilisateur de données », « altruisme en matière de données », etc.), le terme de « confiance » comme ses conditions d’application échappent à cet effort de clarification sémantique, alors que la « confiance » est mentionnée une quinzaine de fois.

Comme naguère le concept de dignité – inscrit dans les grandes déclarations des droits et libertés au lendemain de la seconde guerre mondiale et néanmoins non défini, alors qu’il est notamment la clef de voûte de tous les textes bioéthiques–, le concept de confiance n’est jamais explicité. Le législateur, comme les destinataires des obligations fixées par les textes juridiques, sont supposés savoir suffisamment ce que sont la dignité ou la confiance pour en partager implicitement la même conception. À l’image du temps pour Saint-Augustin, chacun est censé comprendre ce dont il s’agit, bien qu’il soit dans l’impossibilité de l’expliquer à quelqu’un d’autre.

Là où certains y verront une certaine « souplesse » permettant d’adapter le concept de confiance à un panel étendu de situations et à l’évolution sociétale, à l’instar de la notion de vie privée[10], d’autres verront dans cette imprécision, involontaire ou non, au mieux un manque de rigueur nécessaire, au pire une intention non déclarée.

La conception implicite de la confiance

Dans l’absolu, il n’est pas très difficile de comprendre la conception de la confiance qui est sous-jacente au DGA (comme au Digital Services Act dans lequel la Commission européenne propose en outre la nouvelle catégorie mystérieuse de « signaleur de confiance »). Il suffit pour la rendre explicite d’examiner les objectifs principaux du texte.

Le DGA constitue une étape essentielle dans l’ouverture des données. Le but est clairement affirmé : définir les conditions propices au développement de l’économie numérique en créant un marché unique des données. L’ambition porte donc sur l’instauration d’une cinquième liberté, la libre circulation des données, après la libre circulation des biens, des services, des capitaux et des personnes.

Si le RGPD[11] a créé un cadre pour la protection des données personnelles, la proposition de DGA entend en faciliter l’échange, toutes les règles énoncées dans le RGPD étant respectées (notamment les droits des personnes et leur consentement dans les cas appropriés).

Le champ de la proposition est vaste.

En effet, le terme de donnée désigne indifféremment une donnée personnelle et une donnée non personnelle[12], que cette donnée soit générée par des organismes publics, des entreprises ou des citoyens. Par conséquent, l’interaction avec la législation relative aux données personnelles est particulièrement importante. Au demeurant, la proposition de DGA s’inspire des principes de gestion et de réutilisation des données élaborés pour les données de la recherche. Les principes « FAIR » pour les données stipulent en effet que celles-ci doivent être faciles à trouver, accessibles, interopérables et réutilisables, tout en prévoyant un principe d’exceptions du reste non listées et non précisées à ce jour[13].

Pour assurer la confiance dans le partage de ces données, est créée la catégorie d’« intermédiaire de données », sur laquelle se concentre précisément tout le discours politique et juridique de la confiance. Dans les nouveaux « espaces de données » qui seront créés (c’est-à-dire bien au-delà de ceux désignés par la Commission européenne), les prestataires de services de partage de données jouent en effet un rôle stratégique, puisque ce sont eux qui assurent l’interconnexion entre les détenteurs/producteurs de données et les utilisateurs de données.

La « confiance » que le texte cherche à renforcer opère donc à trois niveaux :

  1. La confiance des producteurs de données (entreprises, organismes publics, personnes concernées) à partager leurs données ;
  2.  La confiance des utilisateurs de données dans la qualité de celles-ci ;
  3. La confiance dans les intermédiaires fiables dans les différents espaces de données.

Les intermédiaires de données

Ces derniers apparaissent donc comme les organisateurs de l’échange de données entre entreprises (B2B) ou entre particuliers et entreprises (C2B). Ils sont les facilitateurs du marché unique de la donnée. Sans eux, pas de possibilité technique de le créer, ni de le faire fonctionner. Cette fonction d’intermédiaire leur permettant d’avoir accès aux données qu’ils rendent disponibles, il faut s’assurer de leur impartialité.

De fait, la proposition de DGA distingue deux types d’intermédiaires : les « prestataires de services de partage de données », c’est-à-dire ceux qui exercent « contre rémunération, sous quelque format que ce soit » tant en ce qui concerne des données personnelles que non personnelles (chapitre III) et les « organisations altruistes en matière de données » qui agissent « sans demander de contrepartie » « à des fins d’intérêt général, telles que la recherche scientifique ou l’amélioration des services publics » (chapitre VI).

Pour les premiers, le principe classique de neutralité est mobilisé.

Pour garantir cette neutralité, qui « est fondamentale pour instaurer la confiance »[14], « il est donc nécessaire que les prestataires de services de partage de données agissent uniquement en tant qu’intermédiaires dans les transactions, et qu’ils n’utilisent les données échangées à aucune autre fin »[15]. C’est pourquoi les services de partage de données doivent être constitués en entités juridiques distinctes des autres activités du prestataire afin d’éviter les conflits d’intérêts. Dans la division du travail numérique, l’intermédiation devient elle-même une spécialité à part entière. Pour créer un marché unique, on fragmente les organes techniques qui le rendent possible, et on encadre juridiquement leurs activités.

Dans ce contexte, « confiance » ne signifie en réalité rien de plus et rien de moins que « sécurité », la sécurité pour le stockage et la transmission de données. La sécurité des données personnelles étant assurée par le RGPD, la sécurité du marché s’identifie ici à celle des intermédiaires (donc à leur fiabilité, qu’il s’agit de garantir juridiquement) et des transactions auxquelles ils président, qui incarnent le fonctionnement effectif du marché.

Du point de vue d’une théorie philosophique de la confiance, l’ensemble des dispositions proposées dans le DGA est donc supposé agir sur la motivation des différents acteurs, afin qu’ils se sentent suffisamment en confiance pour partager les données. Un environnement juridique et technique sécurisé leur permettra de passer, espère-t-on, d’un simple avoir confiance encore abstrait au faire confiance concret d’un partage de données, non équivoque.

À noter toutefois que lorsqu’il y a conflit de valeur entre la liberté économique ou celle d’entreprendre et les obligations destinées à créer les conditions de la confiance, c’est le marché qui l’emporte.

En effet, dans l’analyse d’impact réalisée pour la proposition de DGA, la Commission déclare ne choisir ni l’option d’une intervention réglementaire à forte intensité (certification obligatoire pour les services de partage ou autorisation obligatoire pour les organismes altruistes), ni l’option d’une intervention réglementaire à faible intensité (labellisation facultative pour les services de partage ou certification volontaire pour les organismes altruistes). Son choix se reporte sur une solution qu’elle qualifie d’« alternative » mais qui est en réalité à très faible intensité (plus faible encore par exemple que la labellisation facultative en ce qui concerne les gages de confiance). C’est finalement une obligation de notification assortie d’un contrôle a posteriori pour les services de partage qui est retenue, ainsi que la simple possibilité de s’enregistrer en tant qu’« organisme altruiste en matière de données ».

On pourra donc s’étonner que l’option stratégique choisie présente finalement si peu de précautions pour garantir la sécurité et la confiance dont la Commission européenne se fait pourtant si régulièrement le chantre dans sa communication officielle.

Une intention fondée sur les « valeurs » européennes

Mme Margrethe Vestager, Vice-présidente exécutive de la Commission européenne l’affirme avec force : « Nous voulons donner aux entreprises et aux citoyens les outils qui leur permettront de conserver le contrôle des données, et instaurer la confiance en veillant à ce que le traitement des données soit conforme aux valeurs et aux droits fondamentaux européens ».

Mais en réalité, toute la logique du texte montre que les valeurs qui sous-tendent le DGA sont au premier chef celles du marché – un marché certes respectueux des valeurs fondamentales européennes, mais qui doit de part en part façonner le modèle européen de gouvernance des données. Il s’agit d’un positionnement face au modèle commercial actuel de traitement des données opéré par les plateformes technologiques dominantes. Ces plateformes, qu’elles soient issues de l’écosystème de la Silicon Valley ou de toute autre région du globe à volonté hégémonique, n’ont de cesse d’accaparer un pouvoir de marché sans commune mesure compte tenu de leur modèle d’entreprise. Leur modus operandi repose intrinsèquement sur l’extraction continue et le contrôle total de vertigineuses quantités de données.

Le texte repose donc sur une série de réductions implicites qui apparaissent donc comme autant de choix politiques indiscutés : la confiance, maître-mot, est assimilée à la sécurité, la sécurité étant celle des transactions ; de même, les valeurs européennes telles qu’affirmées dans l’article 2 du Traité de l’Union, et qui ne mentionnent pas le marché, sont pourtant tacitement rapportées à celles qui le font fonctionner ; enfin, la gouvernance, terme en principe à haute teneur démocratique et qui donne son titre au DGA, est assimilée aux seuls principes du juste partage marchand, avec pour but avoué, entre autres choses, d’alimenter le ventre glouton de l’« intelligence artificielle ».

Quant à « l’altruisme en matière de données », il est lui-même abordé en termes d’économie de coûts de transaction (en l’occurrence, de coûts liés au recueil du consentement) ; et le fait que l’altruisme puisse s’exercer « sans demander de contrepartie » ne change rien au paradigme marchand : un échange marchand est un échange marchand, même lorsqu’il est gratuit.

En privilégiant ainsi un modèle particulier de gouvernance implicitement donné pour évident, la Commission ne valorise aucunement d’autres modèles possibles qui pourraient présider à la circulation des données. Citons, à titre simplement exploratoire et pour mettre en évidence par contraste les impensés du texte, les possibilités suivantes :

  1.  La création d’un service public européen de la donnée ;
  2. L’interconnexion des services publics propres à chaque État européen (sur le modèle d’eIDAS ou des SIS-Schengen ; voir aussi le service public de la donnée en France[16] qui concerne pour l’instant les données créées dans le cadre du service public par des organismes publics) ;
  3. Une alternative au service public : des officiers publics, à l’instar des notaires ou des huissiers, qui agiraient par délégation d’une partie de l’autorité publique ;
  4. Une alternative par le marché : une mise en commun de données privées et/ou publiques, initiée et construite par des entreprises privées.

Quelle gouvernance des données pour quel type de société ?

Ce texte met pourtant en exergue un concept intéressant à l’époque du « règne des données » : celui du partage. En effet, s’il est convenu, trivialement, de considérer que les données sont l’or noir du 21e siècle, la comparaison obère un élément inédit et essentiel : contrairement à l’eau, au pétrole ou aux métaux rares, qui sont des ressources finies, les données sont une ressource infinie, en constante création et expansion perpétuelles.

Quelle mise en commun pour quel partage ?

S’agira-t-il de mettre à disposition les données issues du secteur public pour en transférer la création de valeur au secteur privé ? Ou de la mise en commun de données publiques et privées vers une nouvelle équation de partage ? Verrons-nous l’émergence de modèles hybrides de valeurs équitablement redistribuées ou la mise en commun de valeurs par des individus ou des entreprises ? Assisterons-nous à l’apparition de « communs de données privés » ? Avec quels mécanismes de contrôle ?

Les individus ou les entreprises seront-ils motivés à partager leurs données ? Cela supposerait un changement assez radical de culture économique.

On voit bien que l’enjeu dépasse la simple question technique et juridique de la gouvernance des données. Au-delà, puisque les conditions sont celles d’une production infinie de données, ces questions nous obligent à repenser le modèle économique classique.

C’est bien d’un nouveau mode de société qu’il s’agit de discuter. Le partage et la confiance sont effectivement de bons candidats pour repenser la société qui vient, pour peu qu’on ne les réduise pas à la seule logique du marché.

Le texte, dans sa forme actuelle, est certes porteur d’une réflexion prenant en compte l’évolution de nos sociétés et de nos pratiques numériques. Les modalités, elles, bien que témoignant d’un effort salutaire de catégorisation adaptée à ces pratiques, nécessiteraient tout de même une attention et une précision conceptuelles et opérationnelles plus poussées.

S’il existe donc, indubitablement, malgré la volonté affichée de partage, un risque de marchandisation systématique des données, y compris des données personnelles, le texte porte aussi en lui, reconnaissons-le, des avancées possibles. Les termes de cette écriture collective ne dépendent que de nous, si tant est bien sûr que toutes les parties prenantes soient consultées, y compris les citoyens, sujets et producteurs desdites données.


Claire Levallois-Barth, Enseignante-chercheuse en droit à Télécom Paris, Coordinatrice et co-fondatrice de la Chaire VP-IP

Mark Hunyadi, Professeur de philosophie morale et politique à l’Université Catholique de Louvain (Belgique), membre de la Chaire VP-IP

Ivan Meseguer, Affaires Européennes, Institut Mines-Télécom, co-fondateur de la Chaire VP-IP


[1] Proposition de règlement du Parlement européen et du conseil sur la gouvernance européenne des données (acte sur la gouvernance des données), COM(2020)767 final, Bruxelles, 25 nov. 2020,  https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52020PC0767

[2] https://ec.europa.eu/commission/presscorner/detail/fr/ip_20_2102.

[3] Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, Une stratégie européenne pour les données, COM(2020) 66 final Bruxelles du 19 fév. 2020, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_fr.

[4] Proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques (Législation sur les services numériques) et modifiant la directive 2000/31/CE, COM(2020)825 final, Bruxelles, 15 déc. 2020, https://eur-lex.europa.eu/legal-content/fr/TXT/?qid=1608117147218&uri=COM%3A2020%3A825%3AFIN.

[5] À ce titre, le DSA entend réguler les fournisseurs de services intermédiaires (simple transport, mise en cache, hébergement) et les plateformes en ligne réunissant vendeurs et consommateurs. Les très grandes plateformes en ligne présentant des risques particuliers en ce qui concerne la diffusion de contenus illicites et les dommages sociétaux se voient imposer des obligations supplémentaires. Elles devront notamment partager des données avec les chercheurs agréés.

[6] Proposition de règlement du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques), COM(2020)842 final du 15 déc. 2020, https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A52020PC0842.

[7] Ces espaces européens communs de données pourront contribuer par exemple à la transition écologique en améliorant la gestion de la consommation d’énergie, à mettre au point des médicaments personnalisés ou à faciliter l’accès aux services publics, https://ec.europa.eu/commission/presscorner/detail/fr/qanda_20_2103.

[8] Proposition de règlement sur la gouvernance européenne des données, préc., p. 1.

[9] Définies comme les données autres que les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679.

[10] La notion de « vie privée » est, selon la Cour européenne des droits de l’Homme (CEDH), une notion fonctionnelle, voire extensive, non susceptible d’une définition exhaustive, qui peut englober de multiples aspects de l’identité physique et sociale d’un individu, CEDH, aff. Mikulić c. Croatie, n° 53176/99, 7 fév. 2002, §54, CEDH 2002-I.

[11] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données), JOUE L 119 du 4.5.2016, p. 1. 

[12] Art. 2, 1 de la proposition de règlement sur la gouvernance européenne des données, préc., qui définit les « données » comme « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels ».

[13] Guiding Principles for Findable, Accessible, Interoperable and Re-usable Data (dit FAIR Data Principles), Publishing version B1.0, https://www.force11.org/fairprinciples.

[14] Cons. 26 de la proposition de règlement sur la gouvernance européenne des données, préc.,

[15] Cons. 26 de la proposition de règlement sur la gouvernance européenne des données, préc.. Les métadonnées collectées ne peuvent être utilisées que pour le développement du service de partage de données (art. 11-2)

[16] https://www.data.gouv.fr/fr/reference

 

Commentaires Clos.